15 de maio de 2018 by integrasul

Maikspy Spyware se passa por jogo adulto e ataca usuários do Windows e do Android

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – descobriu uma família de malware chamada Maikspy: um spyware multiplataforma que pode roubar dados privados de suas vítimas. O spyware ataca usuários do Windows e do Android e, inicialmente, se passa por um jogo adulto. O Maikspy, termo que combina o nome de uma atriz de filmes adultos e spyware, existe desde 2016.
A análise das últimas variantes do Maikspy feita pela Trend Micro, revelou que os usuários foram infectados com o spyware a partir da página hxxp://miakhalifagame[.]com/, um site que distribui aplicativos maliciosos (incluindo o jogo adulto de 2016) e se conecta ao seu servidor C&C para fazer o upload dos dados de dispositivos e máquinas infectadas.
Foram encontrados vários links no Twitter que promoviam o jogo adulto chamado Virtual Girlfriend e compartilhavam o domínio malicioso por meio de links curtos.

O malware Maikspy na plataforma Android

Com base na análise das amostras, vistas pela última vez em março de 2018, a variante Maikspy (detectada pela Trend Micro como AndroidOS_MaikSpy.HRX) é executada no Android e se passa pelo jogo Virtual Girlfriend para atrair usuários a visitar o domínio malicioso dos atacantes.
Quando os usuários abrem a versão do link curto do domínio compartilhado no Twitter, aparece uma página com opções de escolha do gênero, seguida por uma página que permite que os usuários escolham sua “primeira namorada virtual” levando-os à página de download.
Ao baixar e iniciar o arquivo APK, é enviado o timestamp Unix do dispositivo infectado para 0046769438867, um número de telefone que contém o código da Suécia. Supostamente, isso é usado para registrar a ID do dispositivo:

Posteriormente, o aplicativo Maikspy exibe a mensagem “Error: 401. App not compatible. Uninstalling…” para tentar enganar o usuário e fazê-lo pensar que o aplicativo já foi removido do dispositivo.
No entanto, o spyware apenas se esconde e é executado em segundo plano. Após isso, o aplicativo malicioso primeiro verifica as permissões necessárias e prossegue com sua rotina: roubar desde o número de telefone, até as contas, lista de aplicativos instalados e mensagens SMS.
As informações roubadas são gravadas nos formatos .txt ou .csv antes de serem enviadas para o servidor C&C. Após coletar e enviar os dados sequestrados, o app verifica o comando (CMD) do servidor C&C a cada 60 segundos.

CMD Detalhes
startrecording Começa a gravar o som ambiente do dispositivo
stoprecording Para de gravar
uploaddata Envia arquivos /sdcard/DCIM,/sdcard/Downloads, /sdcard/Movies, /sdcard/Pictures, /sdcard/Documents
getnumber Obtém e envia o número de telefone
getclipboard Obtém e envia o conteúdo da área de transferência
sms- Envia SMS
get- Obtém e envia arquivos específicos
getcontacts Obtém e envia contatos
getinstalledapps Obtém e envia a lista de aplicativos instalados
getmsgdata Obtém e envia os SMSs recebidos
getmsgdatasent Obtém e envia os SMSs enviados
getaccounts Obtém e envia as contas
tree Obtém e envia a lista dos arquivos com diretórios específicos

Na primeira execução do Virtual Girlfriend, o aplicativo malicioso usa uma combinação do timestamp Unix, o Bluetooth do dispositivo com nome adaptado e o usuário do Twitter como nome de identificação do dispositivo: Timestamp_BTAdapterName_TwitterAccount.
Se o usuário não tiver o aplicativo do Twitter, será apenas uma string nula (“”).  Se o usuário tiver várias contas do Twitter, o spyware usará a conta na qual o indivíduo está logado.
Além disso, o spyware, quando instalado pela primeira vez, mostra a seguinte página: hxxp://miakhalifagame[.]com/get_access2[.]php
A página de inscrição de um site de namoro online aparece e leva os usuários a fornecer suas informações de cartão de crédito. Depois dos usuários se inscreverem, seus cartões de crédito serão cobrados.
Isso acontece quando os dados são enviados com o iframe oculto localizado na parte inferior direita da página (sublinhado em vermelho). Como resultado, os invasores por trás do esquema não apenas têm as informações do cartão de crédito da vítima, mas também podem roubar o dinheiro cobrado no cartão de crédito, desde que a pessoa não solicite um estorno.

Maikspy na plataforma Windows

No caso da variante Windows (WORM_INFOKEY.A) do Maikspy, vista pela última vez em abril de 2017, o usuário é induzido a baixar um arquivo MiaKhalifa.rar, que contém os arquivos vistos abaixo:
O README.txt fornece instruções ensinando os usuários a desativar o software antivírus e se conectar à rede, algo necessário para que o invasor roube e envie os dados para seu servidor C&C.
O register.bat é usado para obter privilégios de administrador.
O Uninstall.exe é uma cópia da ferramenta de hacking de código aberto Mimikatz (https://github[.]com/gentilkiwi/mimikatz), que consegue extrair senhas de texto simples, hashes, códigos PIN e tickets Kerberos da memória.
Aqui, o Uninstall.exe é usado para obter a conta e a senha do Windows e depois gravar o resultado em: C:\Users\%username%\AppData\local\password.txt.
Setup.exe é o principal módulo usado para roubar dados. Como o Android Maikspy, ele primeiro envia uma notificação ao seu servidor C&C para registrar o dispositivo.

Relação entre Round Year Fun e Maikspy

A Trend Micro analisou uma das contas do Twitter que promoveu o Virtual Girlfriend. O nome da conta é Round Year Fun (hxxps://twitter[.]com/RoundYear_Fun) e sua homepage está cheia de tweets que promovem jogos.
Como visto na imagem abaixo, há outros jogos além do Virtual Girlfriend. Ao verificar a versão em cache da página, a Trend Micro descobriu que ela também era usada para distribuir o jogo adulto usado pela primeira vez pelos atacantes por trás do Maikspy.
A análise revelou ainda que a página hxxp://www[.]roundyearfun[.]org também foi usada como endereço C&C para salvar os dados das vítimas. O malware também usa o mesmo certificado do Virtual Girlfriend.

Boas práticas

Fazer downloads apenas de lojas legítimas de aplicativos, como o Google Play, pode impedir que o Maikspy comprometa computadores e dispositivos móveis. Também é importante saber o que cada aplicativo pode acessar e entender os riscos antes de conceder certas permissões aos aplicativos.
O Mobile App Reputation Service (MARS) da Trend Micro abrange ameaças de Android e iOS com tecnologia líder de machine learning e sandbox, protegendo os usuários contra malwares, zero days e exploits conhecidas, vazamentos de privacidade e vulnerabilidade de aplicativos.
Usuários finais e empresas também podem se beneficiar de soluções de segurança móvel com múltiplas camadas, como o Trend Micro™ Mobile Security for Android™, também disponível no Google Play.
Para organizações, o Trend Micro™ Mobile Security for Enterprise inclui gestão de dispositivos, compliance e aplicativos, proteção de dados e configuração, além de proteger dispositivos de ataques que usam vulnerabilidades, impedindo o acesso não autorizado de aplicativos, bem como detectando e bloqueando malwares e sites fraudulentos.

Fonte: https://ecommercenews.com.br/noticias/pesquisas-noticias/maikspy-spyware-se-passa-por-jogo-adulto-e-ataca-usuarios-do-windows-e-do-android/

Deixe uma resposta

Your email address will not be published / Required fields are marked *